Port Knocking Debianil

Nüüdseks olete tõenäoliselt muutnud oma vaike-SSH-porti. Sellegipoolest saavad häkkerid selle pordi avastamiseks hõlpsasti pordivahemikke skannida, kuid pordi koputamise abil saate pordiskannereid petta. See toimib nii, et teie SSH-klient üritab ühendust luua pordide jadaga, mis kõik keelduvad teie ühendusest, kuid avavad kindlaksmääratud pordi, mis teie ühendust lubab. Väga turvaline ja lihtne paigaldada. Pordi koputamine on üks parimaid viise oma serveri kaitsmiseks volitamata SSH-ühenduse katsete eest.

See artikkel õpetab teile, kuidas pordi koputamist seadistada. See on kirjutatud Debian 7 (Wheezy) jaoks, kuid võib töötada ka teiste Debiani ja Ubuntu versioonidega.

1. samm: vajalike pakettide installimine

Eeldan, et olete SSH-serveri juba installinud. Kui te pole seda teinud, käivitage administraatorina järgmised käsud:

apt-get update
apt-get install openssh-server
apt-get install knockd

Seejärel installige iptables.

apt-get install iptables

Installitavaid pakette ei ole palju – see teebki selle ideaalseks lahenduseks kaitseks toore jõu katsete eest, samas kui seda on lihtne seadistada.

2. samm: iptablesi konfigureerimine selle funktsiooni kasutamiseks

Kuna teie SSH-port suletakse pärast ühenduse loomist, peame tagama, et server lubab teil ühenduses püsida, blokeerides samal ajal muud ühenduskatsed. Käivitage need käsud oma serveris administraatorina.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

See võimaldab olemasolevatel ühendustel säilitada, kuid blokeerib kõik muu teie SSH-porti.

Nüüd konfigureerime knockd.

Siin juhtubki maagia – saate valida, milliseid porte tuleb algul koputada. Avage faili tekstiredaktor /etc/knockd.conf.

nano /etc/knockd.conf

Seal on jaotis, mis näeb välja nagu järgmine plokk.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

Selles jaotises saate muuta koputamist vajavate portide järjestust. Praegu jääme pordide 7000, 8000 ja 9000 juurde. Muutke seq_timeout = 5väärtuseks seq_timeout = 10, ja closeSSHjaotise puhul tehke sama seq_timeoutrea jaoks. closeSSHJaotises on ka jada , mida peate samuti muutma.

Peame lubama knockd, nii et avage redaktor uuesti administraatorina.

nano /etc/default/knockd

Muutke jaotises olev 0 START_KNOCKDväärtuseks 1, seejärel salvestage ja väljuge.

Nüüd alusta koputamist:

service knockd start

Suurepärane! Kõik on paigaldatud. Kui katkestate ühenduse serveriga, peate uuesti ühenduse loomiseks koputama portidele 7000, 8000 ja 9000.

3. samm: proovime järele

Kui kõik oli õigesti installitud, ei tohiks te saada ühendust oma SSH-serveriga.

Pordi koputamist saate testida Telneti kliendiga.

Windowsi kasutajad saavad käivitada telneti käsurealt. Kui telnet pole installitud, avage juhtpaneeli jaotis "Programmid" ja leidke seejärel "Windowsi funktsioonide sisse- või väljalülitamine". Leidke funktsioonide paneelil "Telneti klient" ja lubage see.

Tippige terminali/käsureale:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Tehke seda kõike kümne sekundiga, kuna see on konfiguratsioonis kehtestatud piirang. Nüüd proovige SSH kaudu oma serveriga ühendust luua. See on juurdepääsetav.

SSH-serveri sulgemiseks käivitage käsud vastupidises järjekorras.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Järeldus

Parim osa pordi koputamise kasutamisel on see, et kui see on konfigureeritud koos privaatvõtme autentimisega, pole praktiliselt mingit võimalust, et keegi teine ​​pääseb sisse, kui keegi ei tea porte ja privaatvõtit.